Wer muss für die wirtschaftlichen Folgen von einem #Cyberangriff letztlich einstehen? Sobald ein Unternehmen Opfer eines Cyberangriffs wird, stellt sich unweigerlich die Frage, wer für die entstandenen Schäden haftet.
Zwar hat das Unternehmen theoretisch einen Anspruch auf #Schadensersatz gegen die Initiatoren des Angriffs, indes ist dieser in der Praxis meist aussichtslos. Dies liegt insbesondere daran, dass #Cyberkriminelle häufig aus dem Ausland operieren, was eine effektive Rechtsverfolgung erheblich erschwert.
Im Gegensatz zu physischen Straftaten gestaltet sich die Rückverfolgung von Systemaktivitäten unter den spezifischen Bedingungen des Cyberraums zudem als weitaus komplizierter. Die schiere Menge an im Internet verfügbaren Daten sowie die stetig wachsende Anzahl an Datenübertragungen erschweren die Identifizierung der Angreifer zusätzlich.
Zu diesen technischen Herausforderungen treten niedrige Aufklärungsquoten, mangelnde internationale Kooperationsbereitschaft sowie juristische Hürden im Ausland, die eine Täterermittlung und Strafverfolgung erheblich behindern. Und selbst wenn es gelingt, die Angreifer zu identifizieren, erweisen sich Rechtsdurchsetzung und Vollstreckung in vielen Fällen als nahezu unmöglich.
Vor diesem Hintergrund stellt sich die entscheidende Frage, ob das Unternehmen gegenüber seinen Leitungsorganen nach Cyberangriffen Ersatzansprüche geltend machen kann und unter welchen Voraussetzungen diese potenzielle Haftungsrisiken reduzieren können, indem sie den Nachweis pflichtgemäßen Handelns erbringen.
Hier greift die sogenannte „Business Judgment Rule“, die aus dem angloamerikanischen Recht stammt und im Jahr 2005 in das deutsche Aktiengesetz übernommen wurde: So liegt eine Pflichtverletzung auch im Bereich der #Cybersicherheit nicht vor, wenn der Vorstand bzw. die Geschäftsführung bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Informationen zum Wohle der Gesellschaft zu handeln.
In unserem aktuellen Beitrag für die Zeitschrift für Informationssicherheit „kes“ beleuchte ich zusammen mit unserem cyberintelligence institute Young Talent Jaqueline Emmerich, was die unternehmerischen Grundregeln für pflichtgemäßes Handeln in der #Cybersecurity sind – und wie diese der Geschäftsleitung dabei helfen können, die getroffenen Maßnahmen zur Cybersicherheit rechtlich zu bewerten, was sich bislang als ein nur allzu oft schwieriges Unterfangen darstellt: https://www.kes-informationssicherheit.de/print/titelthema-fachkraeftemisere-neue-wege-zu-mitarbeitern/cyberrisiken-und-die-business-judgement-rule/
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen